EU:n kyberdirektiivit CER ja NIS2 tulevat – oletteko valmiina?
EU -kyberdirektiivit CER ja NIS2 tulevat pian. Direktiivit ovat edeltäjistään muutettuja (CER = ECI, NIS2 = NIS), kyberturvallisuuteen liittyviä vaatimuksia tietyille Suomessa toimiville organisaatioille. Molemmat direktiivit tulevat koskemaan kaikkia EU-jäsenvaltioita, jonka lisäksi NIS2-direktiivi koskettaa myös tiettyjä EU:ssa palveluita tarjoavia toimijoita.
Mikä on CER-direktiivi?
CER-direktiivin tavoitteena on yhteiskunnan toiminnan kannalta kriittisten palveluiden häiriönsietokyvyn (resilienssin) parantaminen. Eli tavoitteena on suojata elintärkeiden palveluiden häiriötön toiminta, ja varmistaa näiden palveluiden jatkuvuus. Suomen Huoltovarmuuskeskus on tehnyt osaltaan työtä yhteiskunnan turvaamiseksi tästä näkökulmasta jo vuosia ja ollut mukana tämän CER-direktiivin määrittelyssä.
Suomen huoltovarmuuskeskus jaottelee yhteiskunnan kannalta kriittisiksi palveluiksi kahdeksaan eri toimialaan liittyviä palveluita, kun taas CER-direktiivi kymmenen eri toimialaa. Uusia toimialoja on julkishallinto sekä avaruus.
Suomi ja muut EU-jäsenmaat huolehtivat itsenäisesti toimialakohtaisten kriittisten toimintojen tunnistamisen – sekä niitä tarjoavat organisaatiot. Tunnistaminen tehdään EU-kriteerien ja kansallisen riskiarvon pohjalta. Näiltä toimijoilta edellytetään CER-direktiivin mukaista riskiarviota ja kriisinkestävyyssuunnitelman laatimista.
Mikä on NIS2-direktiivi?
NIS-direktiivi (The Directive of Security of Network and Information Systems) otettiin käyttöön EU-tasolla jo 2016 ja se on ollut osana Suomen lainsäädäntöä vuodesta 2018 lähtien. NIS-direktiivin tarkoitus on ollut parantaa EU-jäsenmaiden kyberturvallisuutta. Käytännössä tavoitetta lähestyttiin asettamalla 7 eri toimialalla toimiville organisaatioille yhteinen kyberturvallisuuden vähimmäistaso.
NIS2-direktiivi on valmisteilla oleva, paranneltu ja paremmin nykyisen kyberympäristön haasteet huomioiva versio alkuperäisestä NIS-direktiivistä. NIS2 odotetaan tulevan voimaan vuoden 2024 aikana, sisältäen alkuperäisen seitsemän kriittisen sektorin sijaan 10 eri sektoria (vastaavat CER-direktiiviin).
Välttämättömät toimialat Energia, kuljetus, pankki- ja finanssimarkkinat, terveydenhuolto, juomavesi ja jätevesi, digitaalinen infrastruktuuri, julkishallinto | Tärkeät toimialat Posti- ja muut kuljetuspalvelut, jätehuolto, valmistusteollisuus, kemikaaliteollisuus ja –jakelu, ruoantuotanto, -prosessointi ja –jakelu, sekä digitaaliset palvelut ja niiden tuotanto |
EU-direktiivi on EU:n jäsenvaltioiden lainsäätäjille tarkoitettu lainsäädäntöohje. EU-direktiivi ei sellaisenaan muuta maiden omia lakeja, mutta se asentaa siitä huolimatta lainsäätäjille velvollisuuden huomioida direktiivin sisältö sekä toteuttaa sen osaksi maan lainsäädäntöä.
Asiantuntijamme auttavat mielelellään tässäkin asiassa. Varaa palaveri kanssamme tästä.
Lisätietoa aiheesta
Valtioneuvosto.fi – EU:n verkko- ja tietoturvadirektiivin päivittäminen etenee
Tivi.fi – EU:n kyberdirektiivi muuttuu – tätä se tarkoittaa suomalaisille yrityksille
Lue myös
Varmistusten suojaamiseen ransomwarelta
Tuotanto -datan suojaaminen ransomwarelta
